Toon posts:

Cisco communicatie vanaf console over VPN

Pagina: 1
Acties:

woensdag 9 april 2008 15:26

Acties:

Verwijderd

Topicstarter
Ik heb een Cisco Router die een VPN verbinding opzet met een Concentrator. Dit gaat allemaal prima. Ik wil nu echter vanaf de Cisco Router communiceren met een host op het remote netwerk. Dit gaat helaas niet. Ik kan vanaf de Router niks pingen in het remote netwerk en dus ook niet NetFlow pakketjes oversturen. Clients die aan de router zitten kunnen wel communiceren met de remote hosts. Iemand een idee?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

!
hostname Router
!
memory-size iomem 25
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
!
no ip domain lookup
!
ip cef
ip audit po max-events 100
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key blabla address 212.1.1.1
!
crypto ipsec transform-set cm-transformset-1 esp-3des esp-md5-hmac
!
crypto map cm-cryptomap local-address Serial0
crypto map cm-cryptomap 1 ipsec-isakmp
 set peer 212.1.1.1
 set transform-set cm-transformset-1
 match address 100
!
interface FastEthernet0
 ip address 10.134.247.129 255.255.255.192
 speed auto
!
interface Serial0
 ip address 213.1.1.1 255.255.255.252
 ip access-group 104 in
 crypto map cm-cryptomap
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
!
access-list 100 permit ip 10.134.247.128 0.0.0.63 10.134.244.0 0.0.0.255
access-list 104 permit ip 10.134.244.0 0.0.0.255 10.134.247.128 0.0.0.63
access-list 104 permit ahp host 212.1.1.1 host 213.1.1.1
access-list 104 permit esp host 212.1.1.1 host 213.1.1.1
access-list 104 permit udp host 212.1.1.1 host 213.1.1.1 eq isakmp
access-list 104 permit ip host 212.1.1.1 any
access-list 104 deny   ip 10.134.247.128 0.0.0.63 any
access-list 104 deny   ip 10.0.0.0 0.255.255.255 any
access-list 104 deny   ip 172.16.0.0 0.15.255.255 any
access-list 104 deny   ip 192.168.0.0 0.0.255.255 any
access-list 104 deny   ip 127.0.0.0 0.255.255.255 any
access-list 104 deny   ip host 255.255.255.255 any
access-list 104 deny   ip host 0.0.0.0 any
access-list 104 deny   ip any any log
!
end


Remote Router:
LAN: 10.134.247.129
WAN: 213.1.1.1

Concentrator:
212.1.1.1
Local Netwerk : 10.134.244.0

woensdag 9 april 2008 17:59

Acties:
  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 19-02 17:01

bazkar

probeer eens te pingen met als source interface geforceerd de binnenkant van je router?
Hij wil nog wel eens het buitenkant adres als default interface pakken om te pingen, en dat werkt uiteraard niet.

woensdag 9 april 2008 22:15

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Standaard zal al het verkeer geinitieerd worden vanaf de uitgaande interface voor de route die je gebruikt. De source zal dus inderdaad het IP zijn van S0. Doordat dit ip adres niet in de ACL van de cryptomap zit wordt het niet geencrypt en zal het wel gedropped worden aan de andere kant. Je kan denk ik voor netflow wel een source interface
http://www.cisco.com/en/U...ence/nf_01.html#wp1014286
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq